Clé USB infestée par un virus: ci-joint rapport usbfix [Résolu/Fermé]

Signaler
-
Messages postés
43010
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
18 janvier 2021
 -
Bonjour,

Ma clé 8 go est infestée par un virus tenace. Quelqu'un pourrait m'indiquer la marche à suivre?
Je joint le rapport usbfix.
Merci d'avance, j'espère que quelqu'un pourra m'aider!

############################## | UsbFix V 7.153 | [Recherche]

Utilisateur: Camille (Administrateur) # CAMILLE-PC
Mis à jour le 09/12/2013 par El Desaparecido - Team SosVirus
Lancé à 20:28:22 | 09/12/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: ASUSTeK Computer Inc. (K50IP )
CPU: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
RAM -> [Total : 4095 | Free : 1745]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 10.0.9200.16686
WB: Mozilla Firefox : 26.0

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Internet Security [Enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 75 Go (13 Go libre(s) - 18%) [OS] # NTFS
D:\ -> Disque fixe # 209 Go (70 Go libre(s) - 33%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 7 Go (6 Go libre(s) - 89%) [USB DISK] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 416 |ParentID: 408)
C:\Windows\system32\wininit.exe (ID: 464 |ParentID: 408)
C:\Windows\system32\csrss.exe (ID: 476 |ParentID: 456)
C:\Windows\system32\services.exe (ID: 524 |ParentID: 464)
C:\Windows\system32\lsass.exe (ID: 532 |ParentID: 464)
C:\Windows\system32\lsm.exe (ID: 544 |ParentID: 464)
C:\Windows\system32\winlogon.exe (ID: 596 |ParentID: 456)
C:\Windows\system32\svchost.exe (ID: 688 |ParentID: 524)
C:\Windows\system32\nvvsvc.exe (ID: 760 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 800 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 852 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 916 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 952 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1016 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 924 |ParentID: 524)
C:\Windows\system32\nvvsvc.exe (ID: 1144 |ParentID: 760)
C:\Windows\system32\FBAgent.exe (ID: 1212 |ParentID: 524)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1292 |ParentID: 524)
C:\Program Files\AVAST Software\Avast\afwServ.exe (ID: 1408 |ParentID: 524)
C:\Windows\System32\spoolsv.exe (ID: 1476 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1552 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1632 |ParentID: 524)
C:\Program Files\Bonjour\mDNSResponder.exe (ID: 1656 |ParentID: 524)
C:\Windows\SysWOW64\svchost.exe (ID: 1728 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1756 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1804 |ParentID: 524)
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (ID: 1840 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1900 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1932 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 2228 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 2576 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 2848 |ParentID: 524)
C:\Windows\system32\Dwm.exe (ID: 2928 |ParentID: 852)
C:\Windows\Explorer.EXE (ID: 2960 |ParentID: 2920)
C:\Windows\System32\rundll32.exe (ID: 3040 |ParentID: 688)
C:\Windows\AsScrPro.exe (ID: 2832 |ParentID: 1212)
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (ID: 2972 |ParentID: 1212)
C:\Windows\System32\wscript.exe (ID: 1864 |ParentID: 2960)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe (ID: 1400 |ParentID: 2960)
C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe (ID: 2836 |ParentID: 2188)
C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe (ID: 2692 |ParentID: 2188)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (ID: 940 |ParentID: 2188)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 3100 |ParentID: 2188)
C:\Program Files\iPod\bin\iPodService.exe (ID: 3244 |ParentID: 524)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe (ID: 3672 |ParentID: 1400)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe (ID: 3748 |ParentID: 688)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe (ID: 3852 |ParentID: 688)
C:\Windows\System32\svchost.exe (ID: 2300 |ParentID: 524)
C:\Windows\system32\DllHost.exe (ID: 3420 |ParentID: 688)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 2400 |ParentID: 688)
C:\Windows\system32\wuauclt.exe (ID: 4436 |ParentID: 952)
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (ID: 1236 |ParentID: 460)
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (ID: 4456 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 4620 |ParentID: 524)
C:\Program Files (x86)\Microsoft Office\Office12\POWERPNT.EXE (ID: 4556 |ParentID: 2960)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 5048 |ParentID: 2960)
C:\Windows\splwow64.exe (ID: 4364 |ParentID: 4556)
C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE (ID: 3168 |ParentID: 5048)
C:\Windows\System32\WUDFHost.exe (ID: 4832 |ParentID: 852)
C:\UsbFix\Go.exe (ID: 4972 |ParentID: 3576)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [] -
04 - HKLM\SOFTWARE | Run : [GrooveMonitor] - "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
04 - HKLM\SOFTWARE | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE | Run : [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE\wow6432Node | Run : [] -
04 - HKLM\SOFTWARE\wow6432Node | Run : [GrooveMonitor] - "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-442063-3005387531-1285437692-1000\SOFTWARE | Run : [ApplePhotoStreams] - C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
04 - HKU\S-1-5-21-442063-3005387531-1285437692-1000\SOFTWARE | Run : [DAEMON Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-21-442063-3005387531-1285437692-1000\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe
Présent! C:\Users\Camille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! H:\iTunesHelper.vbe
Présent! H:\.Spotlight-V100.lnk
Présent! D:\desktop.ini

################## | Référence de comparaison MD5 |

Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> H:\iTunesHelper.vbe

################## | Comparaison MD5 |

Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> H:\iTunesHelper.vbe

################## | Registre |

Présent! HKU\S-1-5-21-442063-3005387531-1285437692-1000\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper

################## | Vaccin |

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |
Afficher la suite

5 réponses

Réponse 1 / 5
Messages postés
43010
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
18 janvier 2021
 3 597
Hello

Suppression


* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Clique sur "Suppression"

* Laisse travailler l'outil

* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)


Réponse 2 / 5

Merci Lilidurhone!

Je n'arrive pas a utiliser la fonction suppression d'usbfix. Je reçois un message disant "aucun programme n'est associé à ce fichier pour exécuter cette action. Installée un programme ou si c'est déjà fait, créez une association dans le panneau de configuration programme par défaut."

Comment on fait tout ça?
Réponse 3 / 5
Messages postés
43010
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
18 janvier 2021
 3 597
Désactives avast et relances Usbfix
Réponse 4 / 5

Je viens de faire une analyse au démarrage avec la clé connectée, et apparemment le virus a été calmé!
Merci en tout cas :)
Réponse 5 / 5
Messages postés
43010
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
18 janvier 2021
 3 597
Le vie y est encore

Seul usbfix l'enlève
Posez votre question